Codecov : une attaque sur la chaîne logistique qui rappelle SolarWinds
L’attaque ayant visé ce service d’audit de code source pourrait avoir affecté de grands groupes tels que HPE et IBM. Elle rappelle la menace qui pèse sur les chaînes logistiques informatiques.
Certaines des plus grandes entreprises IT dans le monde enquêtent sur de potentielles compromissions de leurs systèmes. Leur point commun : elles utilisent les services de Codecov, un spécialiste de la gestion et de l’audit de code. Las, celui-ci a été victime d’une intrusion découverte le 1er avril, et officiellement révélée le 15 : un assaillant est parvenu à accéder à son script Bash de téléversement et à le modifier. L’attaquant avait au préalable trouvé une façon d’extraire les identifiants nécessaires en mettant à profit une erreur dans le processus de création d’images Docker de Codecov.
Codecov a indiqué avoir identifié des altérations périodiques de son script Bash à partir du 31 janvier. Ce qui aurait en définitive permis à ceux qui sont à l’origine de l’attaque d’exporter les informations stockées dans ses environnements d’intégration continue. Tous les utilisateurs concernés ont été informés.
Parmi les plus gros clients de Codecov, HPE et IBM ont confirmé à Reuters qu’ils examinent leurs propres systèmes à la recherche de signes d’intrusion. Du côté d’IBM, un porte-parole a assuré qu’aucun problème n’a été à ce jour identifié. Atlassian, GoDday, Procter & Gamble ou encore le Washington Post figurent également sur la liste des clients de Codecov.
« Les brèches de ce type sont la conséquence inévitable d’un ensemble puissant de facteurs systémiques, qui produisent collectivement un climat intrinsèquement volatile, mais qui peut néanmoins être prédit. »
Stuart ReedDirecteur Orange Cyberdéfense au Royaume-Uni
L’attaque a également attiré l’attention des autorités américaines et fait désormais l’objet d’une enquête du FBI. Surtout, il est difficile de ne pas faire un parallèle avec l’attaque SolarWinds de décembre 2020, qui résultait d’une modification non autorisée de la plateforme Orion de l’éditeur.
Stuart Reed, directeur d’Orange Cyberdefense au Royaume-Uni, estime ainsi que la compromission de Codecov, « tout comme l’incident de Solarwinds, n’est pas tombée du ciel et ne doit pas être considérée comme un incident isolé. Les brèches de ce type sont la conséquence inévitable d’un ensemble puissant de facteurs systémiques qui produisent collectivement un climat intrinsèquement volatile, mais qui peut néanmoins être prédit ». Et ce contexte favorise, selon lui, « fortement l’attaquant par rapport au défenseur [et] cela ne changera pas à moins que les facteurs systémiques qui le créent ne soient traités ».
Dans le cas présent, estime Stuart Reed, « cela signifie qu’il faut affronter et traiter certains facteurs, notamment les investissements massifs de gouvernements dans les capacités de piratage informatique, et en accepter d’autres, comme les liens étroits d’interdépendance qui sont au cœur du cyberespace, de l’écosystème commercial et de la société en général ».
Mais pour Calvin Gan, directeur sénior de la division Tactical Defense de F-Secure, ce nouvel incident consiste en un énième rappel de l’importance d’une chaîne logistique sur laquelle les organisations se reposent de plus en plus : « les fournisseurs et éditeurs tiers font partie de l’organisation lorsque l’on réalise des audits de sécurité ». En outre, l’incident subi par Codecov vient rappeler à tous qu’il est important de s’assurer « que toutes les configurations sont correctes et vérifier, en particulier lorsque l’on déploie quelque chose sur des applications cloud, ou lorsqu’on le rend publiquement accessible ».
